PARTAGE DE CONNEXIONmariepascal.delamare.free.fr/IMG/pdf/TpIsa.pdf · 2011-08-28 · PARTAGE DE...
Transcript of PARTAGE DE CONNEXIONmariepascal.delamare.free.fr/IMG/pdf/TpIsa.pdf · 2011-08-28 · PARTAGE DE...
1 Marie-pascale Delamare
PARTAGE DE CONNEXION
I LA MISSION
Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d’une ligne ADSL, offrir l’accès à l’internet à tous les utilisateurs de votre réseau.
En administrateur prévoyant, vous savez que dans un second temps, vous devrez ouvrir une DMZ, pour publier sur internet le catalogue produit, que le service développement a déjà réalisé. Vous avez
donc acheté une adresse IP fixe. De plus, soucieux de ne pas décourager les internautes par des temps
de réponse prohibitifs, vous voudriez dès à présent économiser la bande passante vers l’internet.
Après quelques recherches sur internet, vous comprenez que pour partager une ligne ADSL, vous pouvez soit utiliser un routeur disposant, compte tenu du plan d’adressage de votre réseau et de l’achat
d’une seule IP fixe, d’une fonction NAT (network adress translation), soit recourir au service d’une
passerelle de niveau applicatif, un proxy.
Soucieux de bien faire votre travail, vous décidez de tester différentes configurations réseaux. À partir
de votre réseau réel, vous avez élaboré deux maquettes de tests. Votre travail consiste maintenant à
tester ces deux configurations.
Au final, vous devrez pouvoir élaborer une solution pour répondre à la problématique de votre entreprise et la défendre auprès de vos supérieurs.
II MATÉRIELS ET LOGICIELS NÉCESSAIRES
Un micro-ordinateur Windows XP réel, deux serveurs Win2003 en virtuel. Le logiciel WinrouteLite et le logiciel ISA (à prendre sur le poste professeur de la salle 4 \\172.16.4.150\NatProxy). Les logiciels
clients suivants : Firefox ou Internet Explorer, Thunderbird ou Outlook. Le logiciel d’analyse Whireshark. Une connexion Internet via le routeur de la salle 3. Les adresses IP des DNS de notre
fournisseur d’accès à internet. Une boîte aux lettres chez le FAI FREE pour chaque groupe d ‘élèves
([email protected] ……. [email protected] mot de passe carcouet).
III PLATEFORME DE TESTS N°1 :
2 Marie-pascale Delamare
III.1 CONNEXION DU SERVEUR 2003 À L’INTERNET
Lancez votre machine virtuelle Win2003 avec deux cartes réseau. N’oubliez pas de changer le nom
de cette machine.
Vérifiez que votre machine virtuelle sort effectivement sur internet. Installez le logiciel Whireshark.
III.2 MISE EN PLACE DU ROUTEUR NAT WINROUTE
Voici donc la partie pratique pour connecter tout un réseau local à Internet en utilisant un routeur Nat (dans notre cas Winroute). L'installation de ce logiciel est faite sur l’ordinateur virtuel Win2003.
III.3 PRÉPARATIFS
Avant d'installer Winroute, je suppose que vous êtes en ordre sur le paramétrage de votre réseau, et que votre client XP ne peut donc pas sortir sur internet.
III.4 INSTALLATION DE WINROUTE LITE
L'installation de Winroute Lite ne pose pas de problème particulier.
III.5 PARAMÉTRAGE DE WINROUTE LITE
Vous devez préciser quel est le moyen utilisé pour accéder à l’Internet
Nous n’utiliserons ni le serveur DHCP, ni le
mappage de port (nécessaire seulement si l’on possède un serveur WEB accessible depuis
l’Internet), ni les options de sécurité. Par contre, à
vous de paramétrer correctement votre proxy DNS.
Paramétrage du proxy DNS
______________________________________________
Enfin vous activez les différents journaux du logiciel.
3 Marie-pascale Delamare
III.6 PARAMÉTRAGE DES CLIENTS
Winroute est un routeur vous devez donc savoir paramétrer votre client, sinon consultez l’aide du logiciel Winroute. Vérifiez que votre client parvient à sortir sur l’Internet (www, FTP et courrier).
Pour tester www interrogez une page quelconque. Pour tester ftp, vous pouvez interroger le site
ftp.3com.com via votre navigateur préféré, en utilisateur anonyme. Pour tester le courrier, utilisez une
des boîtes aux lettres fournies en tête de ce TP et un logiciel client. N’oubliez pas cependant que notre fournisseur d’accès est wanadoo.
Cela fonctionne-t-il ? _____________ _________________________________________________________
Pouvez-vous limiter les services offerts _________________________________________________
Pouvez-vous limiter les droits par utilisateurs _____________________________________________
Pouvez-vous filtrer les adresses URL ____________________________________________________
Utilisez Whireshark pour répondre à cette question. Quelle-est l’adresse émettrice contenue dans les
paquets sortant vers internet ? _________________________________________________________
III.7 ÉTUDE DES FICHIERS JOURNAUX
Observez les journaux de Winroute. Quels protocoles voyez-vous passer dans le fichier log ? _______
__________________________________________________________________________________
A quel niveau intervient chacun de ces protocoles ? ________________________________________
Observons l’extrait suivant d’un fichier log :
On suppose dans ces exemples que le client a pour adresse 192.168.0.2, que le routeur NAT ou
passerelle de ce client, dispose de l’adresse 192.168.0.1 sur le lan et 192.168.1.2 vers internet. Ce
routeur NAT utilise lui-même les services d’un routeur d’adresse 192.168.1.1 pour atteindre
internet.
Le client d’adresse 192.168.0.2 envoie une requête DNS à sa passerelle (192.168.0.1).
[16/Jan/2003 16:51:22] UDP: packet 351, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 79, 192.168.0.2:1032 -> 192.168.0.1:53
Le routeur NAT (192.168.0.1 et 192.168.1.2) envoie une requête ARP pour résoudre l’adresse
MAC de sa passerelle (192.168.1.1)
[16/Jan/2003 16:51:22] ARP: packet 352, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 42,
request, sender: 192.168.1.2 target: 192.168.1.1
[16/Jan/2003 16:51:22] ARP: packet 353, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 42,
request, sender: 192.168.1.2 target: 192.168.1.1
[16/Jan/2003 16:51:22] ARP: packet 354, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,
reply, sender: 192.168.1.1 target: 192.168.1.2
L’adresse MAC de la passerelle résolue, le routeur NAT prépare le paquet à envoyer sur
l’Internet en changeant l’adresse de l’émetteur et le port du client.
[16/Jan/2003 16:51:22] DNS: query 192.168.1.2:45007 -> 193.252.19.3:53 for www.jazzrecords.com
[16/Jan/2003 16:51:22] UDP: packet 355, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 79,
192.168.1.2:45007 -> 193.252.19.3:53
Le serveur DNS répond au routeur NAT.
[16/Jan/2003 16:51:22] UDP: packet 356, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 197,
4 Marie-pascale Delamare
193.252.19.3:53 -> 192.168.1.2:45007
Le routeur NAT redirige le paquet vers son client en inscrivant la bonne adresse de destinataire
et le bon numéro de port.
[16/Jan/2003 16:51:22] UDP: packet 357, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 197,
192.168.0.1:53 -> 192.168.0.2:1032
Observons un nouvel extrait du fichier log :
Le client d’adresse 192.168.0.2 fait une requête http sur l’adresse 212.227.103.24. Les premiers
échanges consistent à établir une connexion.
[16/Jan/2003 16:51:22] TCP: packet 358, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 62,
192.168.0.2:1033 -> 212.227.103.24:80, flags: SYN , seq:1639595 ack:0
Le routeur NAT reprend cette requête à son compte et essaye d’établir une connexion avec le
serveur WEB visé.
[16/Jan/2003 16:51:22] TCP: packet 359, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 62,
192.168.1.2:45008 -> 212.227.103.24:80, flags: SYN , seq:1639595 ack:0
Le serveur WEB répond à la demande de connexion vers le routeur NAT.
[16/Jan/2003 16:51:22] TCP: packet 360, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,
212.227.103.24:80 -> 192.168.1.2:45008, flags: SYN ACK , seq:1416805286 ack:1639596
Le routeur NAT modifie le paquet pour le rediriger vers son client.
[16/Jan/2003 16:51:22] TCP: packet 364, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 60,
212.227.103.24:80 -> 192.168.0.2:1033, flags: SYN ACK , seq:1416805286 ack:1639596
Le client par l’intermédiaire du routeur NAT répond pour confirmer cette connexion.
[16/Jan/2003 16:51:22] TCP: packet 365, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 60,
192.168.0.2:1033 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287
[16/Jan/2003 16:51:22] TCP: packet 366, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,
192.168.1.2:45008 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287
La connexion est établie et les échanges peuvent commencer. Le client transmet sa demande via
le NAT.
[16/Jan/2003 16:51:22] tmp: 192.168.0.2 -> www.jazzrecords.com GET /tutu/ HTTP/1.1
[16/Jan/2003 16:51:22] TCP: packet 367, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 478,
192.168.0.2:1033 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287
[16/Jan/2003 16:51:22] TCP: packet 368, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 478,
192.168.1.2:45008 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287
..
Le serveur WEB via le routeur NAT transmet sa réponse, qui peut être répartie dans plusieurs
paquets.
[16/Jan/2003 16:51:22] TCP: packet 369, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,
212.227.103.24:80 -> 192.168.1.2:45008, flags: ACK , seq:1416805287 ack:1640020
[16/Jan/2003 16:51:22] TCP: packet 370, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 60,
212.227.103.24:80 -> 192.168.0.2:1033, flags: ACK , seq:1416805287 ack:1640020
[16/Jan/2003 16:51:23] TCP: packet 371, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 1454, 212.227.103.24:80 -> 192.168.1.2:45008, flags: ACK , seq:1416805287 ack:1640020
[16/Jan/2003 16:51:23] TCP: packet 372, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 1454,
5 Marie-pascale Delamare
212.227.103.24:80 -> 192.168.0.2:1033, flags: ACK , seq:1416805287 ack:1640020
[16/Jan/2003 16:51:23] TCP: packet 373, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 1454,
212.227.103.24:80 -> 192.168.1.2:45008, flags: ACK , seq:1416806687 ack:1640020
[16/Jan/2003 16:51:23] TCP: packet 374, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 1454,
212.227.103.24:80 -> 192.168.0.2:1033, flags: ACK , seq:1416806687 ack:1640020
Il nous manque ici la fermeture de la connexion.
III.8 POUR ALLER PLUS LOIN
Vous pouvez réaliser exactement la même chose en utilisant les fonctions standards d’un serveur
Windows 2003. Il vous suffit d’activer le routage et de paramétrer correctement le routeur obtenu en activant la fonction NAT sur la carte externe.
IV PLATEFORME DE TESTS N°2
IV.1 CONNEXION DE LA MACHINE PROXY À INTERNET
Voici donc la partie pratique pour mettre en œuvre la connexion de tout un réseau local à Internet en utilisant un serveur proxy (dans notre cas ISA que vous trouverez sur mon poste professeur à l’adresse
\\172.16.4.150\NatProxy). L'installation du logiciel proxy est faite sur une deuxième machine virtuelle
Windows 2003, possédant une carte réseau. Ne changez pas le nom de cette deuxième machine.
Avant d'installer ISA, je suppose que vous êtes en ordre sur le paramétrage de votre réseau. Active
Directory est déjà installé pour gérer le domaine DOM.priv sur la machine qui va héberger le proxy.
Votre machine proxy sort sur internet, votre client ne sort pas sur internet car vous ne lui mettez pas de
passerelle. Vous avez installé Whireshark sur la machine qui va héberger le proxy.
6 Marie-pascale Delamare
IV.2 INSTALLATION DU PROXY ISA SERVEUR
L’installation ne pose pas de problème particulier, mais vous devez choisir « Installer les
services ISA server et un server de stockage des configurations», puis « Créer
un nouvel ISA server entreprise ». Précisez ensuite que l’administrateur est celui du domaine
(Administrateur et son mot de passe). Choisissez ensuite une plage d’adresse privée en
192.168.0.0. Ensuite vous autorisez la connexion des clients de pare-feu non
cryptés.
NB : Si besoin est prenez le logiciel 7zip.
IV.3 CONFIGURATION DE ISA SERVER
Vous allez maintenant configurer votre proxy Isa. Dans le nœud « Groupes » puis sous le
nom de votre serveur développez
configurations et choisissez « Réseaux » et dans les modèles proposés, choisissez « Carte
réseau unique » Ne changez pas la plage
d’adresses proposée. Choisissez ensuite la stratégie de pare-feu proposée. Appliquez vos
modifications.
IV.4 CONFIGURATION DU SERVICE PROXY
Vous allez maintenant configurer les
paramètres de votre proxy. Positionnez-vous sur la ligne représentant votre réseau interne et
choisissez propriétés. Dans l’onglet « Proxy
web », cochez « Activez les connexions au client proxy web pour ce réseau ». Vous allez
obliger tous les utilisateurs à s’authentifier
pour pouvoir accéder à internet. Toujours dans l’onglet « Proxy web », cliquez sur
« Authentification », choisissez
l’authentification « de base », puis « Exiger
que tous les utilisateurs s’authentifient » et enfin précisez votre domaine.
7 Marie-pascale Delamare
IV.5 CONFIGURATION DU CACHE
Sur la ligne « Cache », choisissez « Définir les lecteurs de cache » et donnez une taille de 100 Mo par exemple. Définissez maintenant vos règles de cache (en fait vous gardez celle(s) proposée(s) par
défaut). Choisissez « Propriétés », puis vérifiez ensuite que le cache HTTP et le cache FTP sont bien
activés.
IV.6 CONFIGURATION DES RÈGLES DE PARE-FEU
Vous devez maintenant configurer une règle dans le pare-feu qui autorisera les requêtes des
clients du proxy à accéder aux protocoles suivants : HTTP, HTTPS et FTP. Pour cela
allez sur « Stratégies de pare-feu » puis
choisissez « Créer une règle d’accès »,
nommez votre règle « Réseau interne vers internet », choisissez « Autoriser »,. Dans la
partie protocoles, sélectionnez « HTTP,
HTTPS, FTP ». Cette règle s’applique au trafic émanant du réseau interne et de l’hôte local,
destiné au réseau interne et à l’hôte local.
Enfin cette règle s’applique à « Tous les utilisateurs authentifiés » et non pas à « Tous
les utilisateurs ».
8 Marie-pascale Delamare
Quels sont les protocoles que vous avez autorisés sur Internet ? ______________________________
À quel niveau du modèle OSI interviennent ces protocoles ? _________________________________
ISA server est donc un ou une (concentrateur, commutateur, routeur ou passerelle) ______________
IV.7 CONFIGURATION DES APPLICATIONS SUR LES CLIENTS
IV.7.1 CONFIGURATION DU NAVIGATEUR INTERNET EXPLORER
Dans le client XP, veuillez lancer Internet Explorer et faîtes « Outils » puis « Options Internet ». Dans l’onglet « Connexion », configurez votre serveur proxy. Attention celui-ci tourne sur le port 8080.
IV.7.2 UTILISATION DU NAVIGATEUR INTERNET EXPLORER
Essayez depuis votre client d’accéder à la page www.free.fr. Cela fonctionne-t-il ? __________________________________________________________________________________
IV.7.3 PARAMÉTRAGE DES AUTRES CLIENTS
Vérifiez si le ftp et le courrier parviennent à sortir sur l’Internet. Pour tester ftp, vous pouvez
interroger le site ftp.3com.com en utilisateur anonyme, via votre navigateur préféré.
Pour tester le courrier, utilisez une des boîtes aux lettres fournies en tête de ce TP et un logiciel client.
N’oubliez pas cependant que notre fournisseur d’accès est Wanadoo.
Cela fonctionne-t-il ? _______________________________________________________________________
9 Marie-pascale Delamare
Dans cette configuration ISA Server ne laisse passer que les protocoles HTTP, FTP et HTTPS. La
messagerie ne fonctionne donc pas.
Pouvez-vous limiter les services offerts (pour répondre à cette question, vous pouvez modifier votre
règle de pare-feu)____________________________________________________________________
__________________________________________________________________________________
Pouvez-vous limiter les droits par utilisateurs (pour répondre à cette question, vous pouvez créer deux
utilisateurs et des groupes d’utilisateurs dans Active Directory, puis faire connaître ces groupes ou ces
utilisateurs au proxy ISA) _____________________________________________________________
__________________________________________________________________________________
Passez le cache d’Internet Explorer à zéro en faisant « Outils » puis « Options Internet ». Dans l’onglet
« Général » puis « Paramètres » et « Cache », passez le cache à zéro et nettoyez-le maintenant.
Interrogez notre site web (que vous n’avez encore jamais interrogé http://82.127.58.57) et observez, en utilisant Whireshark, les paquets échangés.
Premier échange du ____________________________ vers _______________________
IP émettrice :___________________ Port émetteur : ___________________________
IP destinataire :_________________ Port destinataire :__________________________
Deuxième échange du __________________________ vers _____________________
IP émettrice : __________________ Port émetteur : ____________________________
IP destinataire : ________________ Port destinataire :__________________________
Troisième échange du __________________________ vers ______________________
IP émettrice : __________________ Port émetteur : _____________________________
IP destinataire : ________________ Port destinataire :____________________________
Quatrième échange du __________________________ vers ______________________
IP émettrice : _________________ Port émetteur : ___________________________
IP destinataire : ________________Port destinataire :_________________________
La copie d’écran ci-dessous vous montre ce que vous devriez obtenir. Ici le proxy est à l’adresse
192.168.0.10 et le client à l’adresse 192.168.0.1.
10 Marie-pascale Delamare
Interrogez maintenant la même page web et observez les paquets échangés.
Premier échange du ____________________________ vers _______________________
IP émettrice : ___________________ Port émetteur : ________________________________
IP destinataire : __________________Port destinataire :______________________________
Deuxième échange du __________________________ vers ______________________
IP émettrice : ___________________ Port émetteur : ________________________________
IP destinataire : ______ ___________Port destinataire :_______________________________
Avez-vous économisé votre bande passante ? ____________________________________________
Pourquoi ? _______________________________________________________________________
La copie d’écran ci-dessous vous montre ce que vous devriez obtenir. Ici le proxy est à l’adresse
192.168.0.10 et le client à l’adresse 192.168.0.1.
11 Marie-pascale Delamare
IV.8 ÉTUDE DES RAPPORTS GÉNÉRÉS
Dans la partie surveillance et rapports, générez un nouveau rapport. Même si celui-ci est vide, compte tenu des contraintes que nous impose ISA server sur les dates, vous aurez une idée de ce qu’un
administrateur réseau peut surveiller ……
IV.9 POUR ALLER PLUS LOIN
Il existe bien d’autres proxies, WINGATE, SQUID etc. Il faut savoir que l’on peut aussi installer un serveur proxy sur une machine possédant deux cartes réseau. Cette configuration est tout à fait
réalisable avec ISA Server, Wingate etc. L’installation d’un proxy avec une seule carte réseau ne se justifie que si le réseau local est protégé par un pare-feu.
Il existe une faille assez importante dans l’architecture testée dans ce TP. En effet rien n’empêche un
utilisateur de contourner le proxy (à vous de trouver comment). Pour rendre cette architecture sure,
nous verrons qu’intégrer un pare-feu dans notre plateforme de tests, nous permettra de mieux sécuriser notre réseau local et de gérer les accès depuis l’extérieur vers une DMZ. Ce sera l’objet de notre
prochain TP.